はじめに
Azureの一番簡単な資格群であるAZ900とAI900に合格したので申し込み手順や勉強方法をまとめておく.
AZ900もAI900もAzureを触ったことがある人であればほとんど勉強しなくても合格できると思うので暇つぶしにちょうど良いと思ったが,一方で取ることのメリットはあまりないと感じた.さらに難しい資格を取るためのステップアップ的位置付けが強い試験群だ.
AZ900とは
概要
Microsoft 認定: Azure Fundamentals - Certifications
クラウドの概念、Azure のコア サービス、および Azure の管理とガバナンスの機能とツールに関する基本的な知識を示します。
learn.microsoft.com
AZ900は「Azure」に関する基礎知識を問う資格試験で,Azure認定試験の中では一番入門レベルの位置付け.クラウドの基本概念,Azureサービスの概要,料金体系,セキュリティやコンプライアンスといった幅広い分野から薄く出題される.
試験形態
試験は基本的にテストセンターでCBT形式で実施される.問題は全て選択式で,35-40問程度ある.合格基準は1000点満点中700点以上.配点が公表されているわけではないが,1問の中に小問がある場合があり,この場合は小問ごとに加点される.試験時間は45分.価格は12180円.
申し込み方法
Azureのテストは申し込み方法がかなりややこしく,理解するのに時間がかかった.大きく分けて,申し込み系統が二つある.
オデッセイもピアソンも資格試験の運営を行う会社で,Microsoftが作った試験の運営をこれら2社に委託している状況と考えるとわかりやすい.
どっちが良いかだが,基本的にAzure Certificateの資格はピアソンVUEで受けることをおすすめする.というのも,ピアソンVUEは公式のMS Learnとの連携が強く,個人のMSアカウントと資格の紐付けができたりするからだ.実際MSの公式ページから試験を申し込もうとするとピアソンVUEのページに遷移するため,MSとしても基本ピアソンでということだろう.
オデッセイはどちらかというとOffice系のMOS資格などで使われることが多いようだ.私はここを理解せずにAZ900もAI900もオデッセイから申し込んでしまった.初見だとわかりにくいため気をつけてほしい.
オデッセイによる申し込み(AZ900)
オデッセイでの申し込みには,先にCertiport IDの取得が必要だ.ややこしいのだが,Certiportがグローバルでの試験運営の元締めであり,オデッセイはその日本の代理店のような関係だ.そのため,取得した資格の管理はCertiport IDで行われる.
- Certiport IDの取得
- 下記リンクから辿って登録する.
- https://www.odyssey-com.co.jp/id/
- 試験の申し込み
- 下記リンクから案内に従って登録する.
- Microsoft Certified: Azure Fundamentals (AZ-900)|Microsoft認定資格 公式サイト
- わかりにくいのだが,まず試験会場を探す.その後,試験会場ごとに若干申し込み方法が違ったりするのでその点に注意が必要だ.
AI900の申し込み
AI900も同じくオデッセイから申し込もうと思ったのだが,上のページからはできなかった.会場によってAZ900は取り扱いがあってもAI900は取り扱いがないケースがある.
そこで,下記リンクのオデッセイ直営のオデッセイテスティングセンターから直接申し込んだ.
AZ900対策
AZ900はAzureの基礎となるクラウドの基本概念やAzureサービスの概要から,セキュリティやコンプライアンスまで広く薄く出題されるため,Azureの全体感を把握することが合格への近道だ.例えば,以下のようなAzureサービスについて大体わかれば合格できるだろう.
| サービス名 | カテゴリ | 概要 |
|---|---|---|
| Azure Migrate | Migration | オンプレミスや他クラウドのサーバー・DBをAzureへ移行するための評価・移行支援ツール |
| Cost Management | Management & Governance | Azure利用コストの可視化・分析・予算管理を行うサービス |
| Azure Advisor | Management & Governance | セキュリティ・コスト・性能・可用性の観点から改善提案を行うアドバイザー |
| Azure Marketplace | General | Azureで利用できるVMイメージやSaaSアプリを購入・導入できるマーケット |
| Azure Event Hubs | Integration / Messaging | 大量のイベントデータをリアルタイムで受信・処理するためのイベントストリーミング基盤 |
| Azure Event Grid | Integration / Messaging | イベント発生をトリガーとしてサービス間を疎結合で連携するイベント配信サービス |
| Azure Service Health | Management & Governance | Azureサービスの障害・メンテナンス情報を確認できる状態監視サービス |
| Azure Sphere | IoT | セキュアなIoTデバイス向けのOS・クラウド・チップを統合したプラットフォーム |
| Azure Site Recovery | Business Continuity | 災害対策(DR)としてVMや物理サーバーを別リージョンにレプリケーションするサービス |
| Azure Blueprints | Management & Governance | ガバナンス設定(ポリシー・RBAC等)をテンプレート化して環境に適用する仕組み |
| Azure IoT Central | IoT | IoTソリューションをコードなしで構築・管理できるSaaS型サービス |
| Azure Data Lake Storage | Storage / Analytics | 大規模分析向けに最適化された分散ファイルストレージ |
| Microsoft Entra ID Protection | Security / Identity | サインインリスクを検出し、条件付きアクセスで不正アクセスを防止 |
| Azure Information Protection | Security | ドキュメントやメールに分類・暗号化を施し情報漏洩を防ぐ |
| Azure Container Registry | Containers | Dockerコンテナイメージを保存・管理するプライベートレジストリ |
| Apache Spark / Azure Databricks | Analytics | 大規模データ処理・機械学習向けの分散データ分析基盤 |
| Azure Bastion | Networking / Security | VMに安全にRDP/SSH接続できるブラウザベースの踏み台サービス |
| Azure Sentinel | Security (SIEM/SOAR) | セキュリティログを集約・分析し脅威を検出するクラウドSIEM |
| Azure HDInsight | Analytics | Hadoop / Spark などOSSビッグデータ基盤のマネージドサービス |
| Azure Network Watcher | Networking | ネットワークのトラフィック監視や接続トラブルの診断を行う |
| CAF (Cloud Adoption Framework) | Strategy & Governance | Azure導入を成功させるための設計・移行・運用のベストプラクティス集 |
| Azure Synapse Analytics | Analytics | データウェアハウスとビッグデータ分析を統合した分析サービス |
| AMQP | Messaging Protocol | メッセージキューで使われる通信プロトコル(Event Hubs等で利用) |
| Azure Pricing Calculator | Cost Management | Azureサービスの利用料金を事前に見積もるツール |
| Azure Purview (Microsoft Purview) | Governance / Compliance | データの所在・分類・アクセス状況を可視化するデータガバナンスサービス |
| AI Service | AI / Machine Learning | 画像認識・音声認識・翻訳などのAI機能をAPIとして提供 |
| Bot Service | AI / Application | チャットボットを構築・運用するためのマネージドサービス |
| Machine Learning Studio | AI / Machine Learning | 機械学習モデルの開発・学習・デプロイを行う統合環境 |
| Azure AD (Microsoft Entra ID) | Identity | AzureやMicrosoft 365で使われるID・認証管理サービス |
| Azure Advisor | Management & Governance | Azure環境の最適化に関する推奨事項を提示するサービス |
| Azure Blueprints | Management & Governance | 環境構築時のガバナンス設定を自動適用する仕組み |
| Azure CLI | Management | コマンドラインからAzureリソースを操作するツール |
| Azure Cloud Shell | Management | ブラウザ上でAzure CLIやPowerShellを実行できる環境 |
| Azure Monitor | Management & Monitoring | メトリクス・ログを収集しAzureリソースを監視する基盤 |
試験ではところどころ価格プランによるサービスの違いなど細かい部分も出題されるので,出題傾向を把握するために以下の3点を実施した.
- MSの公式学習パスをみる
- ネットに落ちている過去問を解く
- 参考書を買って読み込む
MSの公式学習パス
MSのAZ900のページには,無料で学べる記事が用意されているので,ある程度Azureに慣れている人はざっと目を通すと試験範囲がわかって良いと思う.ただし,いつものMS Learnの文章らしく非常に読みにくいので,初学者は手を出さないことをおすすめする.
Microsoft 認定: Azure Fundamentals - Certifications
クラウドの概念、Azure のコア サービス、および Azure の管理とガバナンスの機能とツールに関する基本的な知識を示します。
learn.microsoft.com
ネットに落ちている過去問
正直これが一番勉強になった.以下の3つのサイトで無料の範囲でかなりの数の問題が解けるので,ある程度知識がある人はここから始めると良い.初学者は先に参考書を読み込んでから問題集として使うのが良いだろう.
AZ-900: Microsoft Azure Fundamentals 問題集
Microsoft AZ-900 Certification with Actual Free Questions | ExamTopics
【Azure資格】無料WEB問題集&徹底解説 | AZ-900:Microsoft Azure Fundamentals
参考書
以下の3冊を購入して読み込んだ.内容はどれも似たり寄ったりなので,正直どれか1冊で十分だった.
- 合格対策Microsoft認定AZ-900:Microsoft Azure Fundamentalsテキスト&問題集 第2版
- 独学合格 Microsoft認定資格 Azure Fundamentals[AZ-900] テキスト&問題集 → 11/3(Mon.)に読了
- 徹底攻略 Microsoft Azure Fundamentals教科書[AZ-900]対応 第2版 徹底攻略シリーズ
タイムライン
AZ900の私自身のタイムラインは以下の通り.受験を思い立ってから1ヶ月くらいで試験に合格した.
- 2025/10/18(土):受験を思い立つ,参考書購入
- 2025/11/8(土):参考書3冊読み込み完了
- 2025/11/15(土):ネットの過去問を解き,合格ラインに到達したことを確認
- 2025/11/18(火):試験申し込み
- 2025/11/24(月):試験日,合格
スコア
全体スコア
| 得点 | 942 | |
|---|---|---|
| 満点 | 1000 | |
| 合格最低点 | 700 |
セクションごとのスコア
| セクション | スコア | |
|---|---|---|
| クラウドの概要の説明(25-30%) | 95% | |
| Azureのアーキテクチャとサービスの説明(35-40%) | 88% | |
| Azureの管理とガバナンスの説明(30-35%) | 100% |
AI900対策
AI900は,AZ900と違ってAzureの機械学習系サービスに特化した内容なため,試験範囲が狭くてAZ900よりも簡単だと思う.試験に出るサービスは画像認識,NLP,生成AI,古典的な機械学習の以下のようなサービス群だ.
- Computer Vision
- Machine Learning Studio
- AI Language
- AI Translator
- AI Speech
- Azure AI Foundry
まずはMSの公式ページで試験範囲をざっと確認しよう.
Microsoft 認定: Azure AI の基礎 - Certifications
AI ソリューションを作成するための Microsoft Azure のソフトウェアとサービスの開発に関連する基本的な AI の概念を示します。
learn.microsoft.com
私はこれを見た段階でほぼ勉強せずに受かりそうだなと判断して,参考書を一冊買ってざっと目を通した.
- MCP教科書 Microsoft Azure AI Fundamentals(試験番号:AI-900) (EXAMPRESS) 単行本(ソフトカバー) – 2024/11/7
タイムライン
AI900の私自身のタイムラインは以下の通り.AZ900と同時に受けようと思ったものの,動き出したのは12月末だった.こちらは勉強開始から2週間程度で合格した.
- 2025/10/18(土):受験を思い立つ,参考書購入
- 2025/12/27(土):試験申し込み
- 2026/1/10(土):参考書読み込み完了
- 2026/1/18(日):試験日,合格
スコア
全体スコア
| 得点 | 866 | |
|---|---|---|
| 満点 | 1000 | |
| 合格最低点 | 700 |
セクションごとのスコア
| セクション | 正答率 |
|---|---|
| 人工知能のワークロードと考慮事項についての説明(15~20%) | 85% |
| Azure での機械学習の基本原則に関する説明(15~20%) | 92% |
| Azure での Computer Vision ワークロードの特徴に関する説明(15~20%) | 91% |
| Azure での自然言語処理(NLP)ワークロードの特徴に関する説明(15~20%) | 83% |
| Azure の生成 AI ワークロードの特徴に関する説明(20~25%) | 89% |
今後の目標
AZ900/AI900を取得したので,次は中級資格であるAZ104(管理者向け)とAZ204(開発者向け)を取得したい.2026年度中を目処に勉強時間を確保したいところ.
ネットの参考記事
【AZ-900】Azure未経験が3週間で合格した勉強方法【過去問題集あり】|よし研-IT資格取得の挑戦記録
無料のトレーニング イベント Virtual Training Days | Microsoft Events and Seminars
Certiport経由で取得した資格はMicrosoft Learnに紐づけられないらしい
勉強項目
以下自分の勉強時のメモ
クラウドコンピューティング
- IaaS, PaaS, SaaSの違い
- OSのミドルウェアもPaaSではクラウド事業者の責任
- PaaSの例:App Service, Container Instancesなど
コアアーキ
- 地域レベル
- リージョン
- リージョンペア → 地域レベルの障害に強い
- 二つのリージョンを組み合わせたもの(Ex. 東日本,西日本)
- 通常最低300マイル以上離れている
- 高速低遅延ネットワークで結ばれている
- Geo
- リージョンペアをまとめてGeoという.例えば日本Geo=東日本リージョン+西日本リージョン
- データセンタレベル
- 可用性ゾーン → データセンタ障害に強い
- 同じリージョン内の異なるデータセンタ群のこと.通常1つのリージョン内に3つの可用性ゾーンが存在する.ただし,可用性ゾーンがないリージョンもある.
- 複数の仮想マシンを異なるデータセンタに分散配置することで,データセンタそのものの障害からシステムを保護する.
- 各ゾーンは独自の電源・冷却システム・ネットワークインフラを持つ
- 可用性セットより簡単で,より高い可用性を提供する,より新しい機能.
- ユーザは可用性ゾーンを番号で指定する.
- SLAでは,可用性ゾーンを利用した2台以上の仮想マシンのシステムに対して,**99.99%(月間0.1時間停止)**を保証している.
- 複数の仮想マシンを異なるデータセンタに分散配置することで,データセンタそのものの障害からシステムを保護する
- 可用性セットより簡単で,より高い可用性を提供する,より新しい機能.
- ユーザは可用性ゾーンを番号で指定する.
- SLAでは,可用性ゾーンを利用した2台以上の仮想マシンのシステムに対して,**99.99%(月間0.1時間停止)**を保証している.
- 可用性ゾーン → データセンタ障害に強い
リソース管理
- リソースの階層構造
- テナント
- 一番外側の管理体系で,常に一つだけ存在し,削除や移動ができない.
- 管理グループ
- テナントの下にくる階層.複数階層が許される.
- ポリシーの一括適用,RBACの一括適用が可能.
- 管理グループ単位でコストを可視化できる
- サブスクリプション
- 管理グループの直下にくる.
- サブスクリプションは入れ子にできない.
- サブスクは後から統合できない.
- テナント
- リソース,リソースグループ
- ARM:Azure Resource Manager
- リソースにはタグ付けできる
- 全てのリソースは一つのRGに属する
- RGを削除すると全てのリソースが削除される
- RBAC(Role Base Access Control)
- リソースグループのリージョンはあくまでメタデータで,物理的にリージョンと紐付くわけではない.
- リソースはRG内で移動可能.ただし,リソースタイプによっては移動できないものもある.
コンピューティングサービス
- 仮想マシン
- 可用性を高めるオプション
- 可用性ゾーン:同一リージョン何の分離されたデータセンタ間に仮想マシンを配置する
- 可用性セット:同一データセンター内の異なるラックやサーバに仮想マシンを配置する.より具体的には,異なる障害ドメインを最大3つ選択できる.また,異なる更新ドメインを最大20個選択できる.
- 弾力性を高めるオプション
- Virtual Machine Scale Set(VMSS)
- 可用性ではなく,弾力性を上げるための仕組み.
- Virtual Machine Scale Set(VMSS)
- 仮想マシンに必要なリソース
- ネットワークインターフェイス
- ディスク
- 仮想ネットワーク
- パブリックIPアドレス
- サブネット
- ネットワークセキュリティグループ(NSG)
- 可用性を高めるオプション
- Container Instances
- App Service
- プランは,Free, Shared, Basic, Standardがある.カスタムドメインは,Basic, Standardが使える.Sharedでは仕様が制限される.
Azure ネットワークサービス
- 仮想ネットワークの目的
- セグメンテーション
- アイソレーション
- デフォルトでは,異なる仮想ネットワーク間の通信は許可されない
- ネットワークセキュリティグループ(NSG)
- デフォルトのファイアウォールサービスで,無料で利用できる.
- サブネット/ネットワークインターフェイスレベルで適用される
- Azure Firewall
- NSGより高度な設定が可能だが,有料のサービス
- 仮想ネットワーク全体に対して中央集権型で適用される
- FQDNフィルタリングや脅威インテリジェンスなどを含む
- 仮想ネット ピアリング(peering)
- 異なる仮想ネットワーク間を直接接続し,セキュアで低遅延な通信を可能とする
- 同一リージョン内では仮想ネットワークピアリング,異なるリージョン間ではグローバル仮想ネットワークピアリングが使われる.
- Azure Express Route
- 公開されているインターネットアクセスを使わずにアクセスを確率する
- VPN Gateway
- Azureの仮想ネットワークと他のネットワークを安全に接続するサービス
- ポイント対サイト:ここのクライアントデバイス(ポイント)からAzure仮想ネットワーク(サイト)
- サイト間:オンプレサーバー全体をAzureの仮想ネットワークに接続する際に利用する
- Vnet間:AzureのVnet間の接続.ピアリングに比べると,Gatewayが必須,接続にコストがかかる一方で,トラフィックが暗号化される(ピアリングはされない)のが違い.
- Azureの仮想ネットワークと他のネットワークを安全に接続するサービス
- エンドポイント
- パブリックエンドポイント
- プライベートエンドポイント:仮想ネットワーク内からのみアクセス可能
ストレージサービス
- ストレージサービスの一覧
- Blob Storage(ブロック,ページ,追加の3つある)
- Table Storage
- Queue Strorage
- Azure Files:これだけは別のサービス,GUI上でファイルを扱う
- ストレージアカウント
- Azure全体で一意である必要がある(他のAzureユーザが使っている名前は使えない!)
- ストレージアカウントの最大容量は5PB(=5120TB),ファイル数には制限はない.
- Blob Storage
- ブロックBLOB:最大5万個のブロックに分割して格納,各ブロックのサイズは最大4000Mibまで.
- ページBLOB:主にVMのデータディスクとして使用される.データは512バイトの固定サイズのページに分割して格納され,最大8TBまで.ランダムな読み書きが可能.頻繁に更新される大規模ファイルの管理に適している.
- 追加BLOB:ログデータの記録に特化し,データの追加のみが許可されており,既存のデータの変更や削除はできない.最大195GBまで.
- Blob Storageのデータアクセス層
- 最低保存期間
- クール:30日
- コールド:90日
- アーカイブ:180日
- 最低保存期間
- Blobのアクセス層(=ストレージ層),ファイル単位で設定
- ホット
- クール
- コールド
- アーカイブ
- Filesのアクセス層,共有フォルダー単位で設定(Azure FilesはSMBプロトコル)
- トランザクション最適化
- ホット
- クール
- 冗長性オプション(順番に価格が上がる)
- ローカル冗長ストレージ(LRS)
- 同一データセンター内に3つのコピー,デフォルト
- ゾーン冗長ストレージ(ZRS)
- 同一リージョンの別の可用性ゾーンに3つのコピー
- Geo冗長ストレージ(GRS)
- プライマリリージョンに3つのコピー,セカンダリリージョンに予備として3つのコピー.
- セカンダリ=プライマリのリージョンペア
- セカンダリには通常アクセスできない
- 読み取りアクセスGeo冗長ストレージ(RA-GRS)
- GRSに加えて,セカンダリに読み込みアクセスできる
- Geoゾーン冗長ストレージ
- プライマリリージョンをゾーン冗長にしたもの
- 読み取りアクセスGeoゾーン冗長ストレージ
- RA-GRSのプライマリリージョンをゾーン冗長にしたもの
- ローカル冗長ストレージ(LRS)
- ファイル操作ツール
- Azure Portal
- AzCopy
- Azure ストレージエクスプローラ
- Win, Mac, Linux対応のデスクトップアプリで,ストレージ管理タスクを簡単に実行できる
- Azure File Sync
- オンプレのファイルサーバのファイルをセキュリティ情報と共にAzure Filesに複製する
- Azure File Syncを使用している場合、Azure Backupを使ってAzure Fileシェアからファイルを復元できる
- ファイル移行ツール
- Azure Migrate
- オンプレや他社クラウドリソースをAzureに移行するツール(サーバ,データベース,アプリ,データの4種)
- 現状を調査する評価ツールと,移行する移行ツールで構成される
- Azure Data Box
- 実際のディスクを送る
- Import/Export
- 自分でSATAディスクを用意する
- Azure Migrate
ID管理
- Entra IDとactive directoryの連携
- オンプレにEntra Connectというサービスをインストールする
- Entra Domain Services
- オンプレのActive Directoryと互換性を持つ
- セルフサービスパスワードリセット
- P1以上でないと使えない(無料,Basicでは使えない)
- 外部IDの利用
- Microsoft Entra B2B
- 外部アカウントをEntra IDテナントに招待する
- Active Directory B2C
- 顧客のID管理用の専用テナント
- ポリシー
- イニシアチブ定義
- Microsoft Entra B2B
- 条件付きアクセス(P1 or P2ライセンスが必要)
- Entra IDの無料版は,SLAがない.有料版のみ.
アクセス管理
- ロールベースアクセス制御(RBAC)
- 組み込みロール(ビルトインロール)
- 所有者
- 全ての操作が許可される
- 共同作成者
- セキュリティ設定以外の全ての操作が可能
- 閲覧者
- 読み取りのみ
- 所有者
- 設定範囲
- 管理グループ
- サブスクリプション
- リソースグループ
- リソース
- 組み込みロール(ビルトインロール)
- 多層防御モデル
- データ
- アプリ
- サーバ
- 内部ネットワーク
- 境界ネットワーク(構成上の問題は利用者の,それ以外はMSの責任)
- IDとアクセス
- 物理セキュリティ(MSの責任)
- ゼロトラスト
- 基本3原則
- 明示的に検証する
- 最小特権の原則
- 侵害を想定する
- 基本3原則
- Microsoft Defender for Coud
- セキュリティに関する取り組みの監視と,個々のサービスの制御の二つの機能
- セキュリティ態勢管理
- セキュアスコア
- 規制コンプライアンス
- ワークロード防御
- セキュリティアラート
- Just-In-Time 仮想マシンアクセス機能
- その他Azureリソースのセキュリティ管理
- セキュリティ態勢管理
- Azureに加えて,AWS, GCP, Azure Arcを使ったオンプレミスサーバも評価対象にできる
- 料金
- 無料のFreeレベルと有料のDefenderレベルがある
- セキュリティに関する取り組みの監視と,個々のサービスの制御の二つの機能
コスト管理
- コストの大きい物
- コンピュート(仮想マシン,App Service)
- 仮想マシン
- 1分単位で課金
- 仮想マシン
- ストレージ(仮想ディスク,ストレージアカウント)
- データ転送
- インターネットとの通信
- Azureリージョン間の通信
- ピアリング
- 可用性ゾーン
- 可用性ゾーン内と,可用性ゾーンを使わない同一リージョン内の通信はいずれも無料.
- 逆に,リージョン間はのデータ転送は有料.
- コンピュート(仮想マシン,App Service)
- サブスクの課金方法
- 従量課金(Webダイレクト)
- エンタープライズアグリーメント(EA)
- クラウドソリューションプロバイダ(CSP)経由
- サブスクリプションを削除しても,90日間はリソースが保持されて,サブスクを再有効化できる.
- Azure MarketPlace
- サードバーティ製品を購入できる
- 基本従量課金
- 料金計算用のツール
- 料金計算ツール
- Azure製品の構成とコストの見積もり
- 総保有コスト(TCO)計算ツール
- 運用コストの削減効果を可視化するツール
- ワークロード定義(オンプレサーバの状況),前提条件の調整(人材コストなど),レポートの表示の3つを行う
- オンプレ → Azureのみサポート,クラウド → Azureはサポートしていない.
- 運用コストの削減効果を可視化するツール
- 料金計算ツール
- コスト管理(料金計算ではなく,実際にかかっているコストの確認用)
- Azure Cost Management
- コスト分析
- 予算設定
- アラート
- アラートは出るが,予算超過時に自動停止するような機能はない
- アドバイザー推奨項目
- 請求書と支払い
- Azure Cost Management
- タグ
- リソースにタグを設定し,タグ別にコストを算出できる.
- Azure Policyに乗っ取って,タグ付けを強制できる.
- タグは継承しない.リソースグループにタグをつけても,リソースにはタグはつかない.
- コスト最適化
- Azureのリソース予約(RI)機能(Reserved Instance)
- 利用料金を1または3年分前払いして割引を受ける.
- Azureスポット割引
- データセンタ内で提供可能なサーバリソースが余っている場合に受けられる特別な割引価格.
- スポット割引が適用された仮想マシンをスポットインスタンス
- Azure ハイブリッド特典
- 一部のMS製品の移動可能ライセンスをAzureに持ち込むことで,ライセンス分のコストを節約できる.
- ソフトウェアアシュアランス(SA)契約に基づくWindows ServerとSQL Serverで利用できる.
- Azureの使用制限
- メンバープランなど毎月の使用額が設定されたサブスクは,料金枠を超過したら停止する機能がある.(従量課金のリソースでは使えない)
- Azureのリソース予約(RI)機能(Reserved Instance)
- サポートプラン
- Basic:技術サポートは含まれない,個人開発者向け.
- Developer:開発段階のプロジェクト向け,営業時間内のメールでの技術サポートがある.
- Standard:365日24時間の技術サポート.
- Professional Direct:専任のサポートスペシャリストによるガイダンスが着く
ガバナンスとコンプライアンス
- コンプライアンスフレームワーク
- CSA STAR認証
- クラウドプロバイダのセキュリティを第三者が厳密に評価する制度
- EU一般データ保護規則(GDPR)
- プライバシーに関するEUの規則
- ISO/IEC 27018
- クラウド環境における個人情報保護の国際規格
- CSA STAR認証
- Microsoft Defender for CloudのDefenderレベルで監査結果を表示できる.
- Azure Policyにもコンプライアンス基準に基づいた監査機能がある.
- Microsoft Purview
- Azureのみならず,M365やその他のクラウドに対するコンプライアンスサービス
- 機密データの保護
- データリスクの特定
- 規制コンプライアンス要件の管理
- Service Trust Portal
- コンプライアンス責任者などを対象に,詳細で専門的な情報を集めたWebサイト
- サイト自体へは誰でもアクセスできるが,情報を手に入れるにはM365, Dynamics 365, Azureのいずれかのアカウントが必要.
- Azure Policy
- 使用中のリソースが決められた規則に準拠しているかを評価する.
- 設定した個々の規則のことをポリシー定義と呼ぶ
- 複数のポリシーをまとめたものをイニシアチブと呼ぶ.その割り当て先をスコープと呼ぶ.スコープにはサブスクリプションやリソースグループ,管理グループを設定できる.上位から下位へ継承される.
- リソースロック
- 「不正利用禁止」ではなく,「ミス防止」の機能
- ロックされたリソース/リソースグループ/サブスクでは,権限があるユーザでも変更や削除ができなくなる.
- 読み取り専用ロックと削除ロックがある.
- サブスク全体のキャンセルをロックできる?できない?
Azureの管理,展開,監視
- 管理ツールの概要
- Azure Portal
- Azure PowerShell
- Windows PowerShell上で動作する
- Linux, OSXでもPowerShellをインストールすれば使える
- Azure CLI
- Win, Linux, OSXで利用できる.
- 内部的にはPythonを利用.
- Azure Cloud Shell
- Azure Portalから利用できるWebブラウザベースのCLI
- 利用にはストレージアカウントが必要
- Azure アプリ(Azure Mobile App)
- iOSおよびAndroid用
- Azureの展開ツール
- ARM(Azure Resource Manager)
- ARMテンプレート
- Json
- Jsonを簡略化したBicep形式もある
- 手続型ではなく,宣言型の処理を行っている
- IaC(Infrastructure as Code)
- ARMテンプレートを複数に分割して,目的別(dev, prod環境用など)で管理できる.
- Azure Arc
- Azure以外のリソース(オンプレサーバ,他社クラウド)を扱う機能
- 使い方は,Azure Connected Machineエージェントを各サーバにインストールし,ARMからアクセスできるようになる.
- 他にも,Azureの管理ツールから参照できたり,Defender for Cloudによるセキュリティ強化,Azure Monitorによる監視が可能.
- Azureの監視ツール
- Azure Service Health
- Azure自体のサービス正常性をチェックする
- Azure Advisor
- コスト,セキュリティ,信頼性,オペレーショナルエクセレンス,パフォーマンスについて,展開済みのサービスに対してアドバイスをくれる.
- Azure Monitor
- アクティビティログ,メトリック,ログ,Application Insightsなどの機能の総称(?)
- Azure上のリソース以外にも,オンプレや他社クラウドのリソースも監視できる.(Azure Monitorえージェzントをインストール)
- アプリの実行状況などを即座に把握できる(アプリ,ゲストOS,Azureリソース,Azureサブスク,Azureテナントなどの監視データ)
- Azure Alert
- 監視条件(アラートルール)を満たしたらアラートとしてメールなどを飛ばせる.
- その他,Functions, ロジックアプリ,Webhookなどをキック可能.
- Azure Log Analytics
- リソースの動作状況の保存先としてLog Analyticsワークスペースを指定する必要がある.
- Azure以外のオンプレや他社クラウドのリソースも監視できる.監視対象のサーバには,Azure Arc対応サーバとして構成してから,Azure Monitorエージェントをインストール.
- Azure Service Health
Azueのアーキとサービス
- サブスク間でのリソースの移動
- ほとんどの種類のリソースは移動が可能だが,一部のリソースについては移動できなかったり移動に制限があったりする.
- 可用性を高める仕組み
- 可用性セット
- 複数の仮想マシンをデータセンタ内の異なるサーバラックや仮想化ホストに分散配置してデータセンタ内で発生した障害からシステムを保護する.
- 障害ドメイン:仮想マシンをいくつのラックに分散配置するか(最大3)
- 更新ドメイン:仮想マシンを幾つの仮想化ホストに分散配置するか(最大20)
- SLAでは,可用性セットを利用した2台以上の仮想マシンのシステムに対して,**99.95%(月間0.4時間停止)**を保証している.
- 複数の仮想マシンをデータセンタ内の異なるサーバラックや仮想化ホストに分散配置してデータセンタ内で発生した障害からシステムを保護する.
- 可用性ゾーン
- 複数の仮想マシンを異なるデータセンタに分散配置することで,データセンタそのものの障害からシステムを保護する
- 可用性セットより簡単で,より高い可用性を提供する,より新しい機能.
- ユーザは可用性ゾーンを番号で指定する.
- SLAでは,可用性ゾーンを利用した2台以上の仮想マシンのシステムに対して,**99.99%(月間0.1時間停止)**を保証している.
- 可用性セット
- 仮想マシンスケールセット(スケーラビリティ向上)
- 仮想マシンのテンプレを指定するだけで複数の仮想マシンをまとめて作成できる
- 負荷に応じて自動的に仮想マシンを追加または削除する自動スケーリング機能もある
- Azure Load Balancerがユーザからのアクセスを複数の仮想マシンに分散する
- 仮想マシンを別のリージョンに移動する際には、短時間のダウンタイムが必要.
- ネットワーク
- 仮想ネットワーク
- 各Azure仮想ネットワークは1つのVPNゲートウェイしか持てない
- サブネット
- 仮想ネットワークには一つ以上のサブネットが必要
- デフォルトではサブネット間の通信は許可
- サブネット間通信を制限するには,NSGまたはAzure Firewallを利用
- NSG
- デフォルトでは,仮想マシンへの通信は禁止,仮想マシンからの通信は許可
- サービスタグをソースと宛先に指定できる
- アプリケーションセキュリティグループ(ASG)
- 仮想マシンをグループ化し,それをNSGのセキュリティ規則のソースや宛先に利用できる
- ピアリング
- 異なる仮想ネットワークに接続された仮想マシン間は通信できない.ピアリングを設定して仮想ネットワーク間を接続すると通信できるようになる.
- 異なるリージョンの仮想ネットワーク間でもOKで,グローバルピアリングと呼ぶ
- サイト間接続
- オンプレネットワークとAzureの仮想ネットワークの接続をするときに利用
- P2S(ポイント to サイト)接続
- 単体のPCからAzureの仮想ネットワークへの接続
- Azure ExpressRoute
- OSIレイヤ3のネットワーク層でプライベートな専用線を確立
- Azure DNS
- マネージドDNSサービス
- パブリック/プライベートエンドポイント
- パブリック:インターネットからの接続に利用
- プライベート:仮想ネットワーク内からの接続に利用
- 負荷分散
- Azure Load Balancer
- IPアドレス,プロトコル,ポート番号などを利用
- Azure Application Gateway
- HTTP/HTTPSの負荷分散に特化
- Azure Traffic Manager
- Azure Load Balancer
- 仮想ネットワーク
- ストレージ
- 1つのストレージアカウントで最大5PBまでのデータを格納でき,一つ一つのデータの最大サイズは無制限
コメント